AVG: Hoe kom je als gemeente ‘in control’? · 3. De AVG Check; is mijn organisatie ^in control...
Transcript of AVG: Hoe kom je als gemeente ‘in control’? · 3. De AVG Check; is mijn organisatie ^in control...
AVG: Hoe kom je als gemeente ‘in control’?
Programma
1. Opening
2. De implementatie van de AVG binnen de gemeente
3. De AVG Check; is mijn organisatie “in control” m.b.t. de AVG?
4. De nieuwste mogelijkheden van Data Leak Prevention (DLP)
5. Pauze
6. Hoe kijkt de Autoriteit Persoonsgegevens aan tegen de gemeentelijke praktijk
7. Paneldiscussie met sprekers en publiek
8. Borrel
Informatiebeveiliging en privacy in Heusden
Dromen. Doen. Heusden.
Wij zijn de gemeente voor Doeners met een Droom.
Wij staan open voor alle initiatieven uit de samenleving en ondersteunendeze van harte.
Mogelijkmakers bieden Heuse Service
Intensief cultuur traject sinds 2012. Mogelijkmakerschap vraagt om durf, de randen van speelveld opzoeken, buiten de lijntjes kleuren om zo dromenmogelijk te maken.
4
Powerpoint> Gemeente Heusden 5
BIG en AVG…..
6
Omdat het wettelijk bepaald is….
Onvoldoende sence of urgency….
En MogelijkMaken dan?
Grenzen opzoeken
Alles openbaar tenzij
Durf/lef
Transparant
7
Start projectteam
8
• Medewerker kwaliteit informatievoorziening & bedrijfsprocessen
• I&A coordinator
• Juridisch medewerker zorgdomein
• Beleidsmedewerker kwaliteitscontrol
• Portefeuillehouder?
• Externe begeleider
Project
• Realistisch plan van aanpak
• Begeleiding van het project met kennisoverdracht• Passen in de merkbelofte
Start• Interviews met belangrijke spelers• Noodzaak onder de aandacht• Hoe zitten we in de wedstrijd
• Toeval hielp om een sence of urgency te creëren• Plan van aanpak
9
Implementatie van de AVG en BIG
• Bewustwording• Vraagbaak• Privacybeleid, informatiebeveiligingsbeleid• Afvinken register- en verwerkersovereenkomsten• Impactanalyses
• Kennis opbouw• Beleggen rollen in de organisatie• 6 vereisten AVG
10
Belangrijk! Bewustwording!
• Phisingmail
• Crisisgame• Wekelijks bericht op intranet• Lezing• Presentaties voor 33 clusters• Gesprekken in MT
11
Lessons learned
Investeer in bewustwording
Verwerkingenregister als hulpmiddel om overzicht te houden
Grote risico’s (mail, wachtwoorden thuis werken) als eerste aanpakken
Rolbewustzijn bij bestuur en management
Kracht van de herhaling
12
Valkuilen
• Haast, alles tegelijk willen doen
• Beveiliging een technisch verhaal
• Juridische benadering AVG
• Het blijft een feestje van de projectgroep
• Management buiten beeld
• Eenmalige actie
13
Resultaat AVG en BIG in Heusden
Per 25 mei 2018 de 6 verplichte AVG-maatregelen ingevoerd.
Minstens zo belangrijk: • Geland in de organisatie
• Houding en gedrag medewerkers• Management voelt verantwoordelijkheid
14
15
16
17
Vervolg
• Formatieuitbreiding
• Definitieve inbedding van de rollen in de organisatie
• Acties worden opgenomen in risicomanagementsysteem en krijgt zo eenplaats in de bedrijfsvoeringscyclus
• Blijvende aandacht voor privacy en informatiebeveiliging
18
Borging Privacy / Beveiliging o.b.v. raamwerk VNG
19
Bron: Privacy sociaal domein, privacyraamwerk – www.vng.nl
Vertaalslag naar Heusden
Powerpoint template > Gemeente Heusden 20
Taak College enRaad
MT /clustermanager
Controller
CISO FG PA Vakspecialist
Governanceen Beleid
Opstellen I&P beleid en jaarplan
XX
X X X
Implementeren maatregelen X x X
Controleren maatregelen X X X X X
Werkprocessen
Bijhouden verwerkingenregister X X X
Uitvoeren PIA X X (fiat) X (ter kennisname)
X X
Afhandelen Inzageverzoek X X X
Afhandelen datalekken X X X X X
Bewustwording en training X X X X
Behandelen vragen / calls X X X X
Handleidingen / Checklists
Hoe kijk ik erop terug?
Geen gemakkelijk proces…….
• Vechten voor een podiumplaats
• Gedoe rondom de standaard-verwerkersovereenkomsten
• Laten aansluiten bij de praktijk van alledag?
• Hoe blijf je bij de les in alle ontwikkelingen die er op je afkomen?
21
Quick scan & AVG-check
Is de gemeentelijke organisatie in control?
Niels van der MeijWim Keuvelaar
Voor 25 mei 2018
ZomervakantieNa 25 mei
20189 mei 2019
Van project- naar lijnorganisatie
2515-5-2019Is de gemeentelijke organisatie in
control?
Plan
Do
Check
Act
Inventarisatie
Gap analyse
Projectuitvoering
• Ten opzichte van het projectplan?
• Heeft de organisatie een goed en volledig beeld?
• Hoe doet de organisatie het in relatie tot andere gemeenten?
• Waar staan we in relatie tot andere overheden/sectoren?
• Is de organisatie “in control”?
26
15-5-2019Is de gemeentelijke organisatie in
control?
Waar staat de organisatie?
15-5-2019 27Is de gemeentelijke organisatie in
control?
Wanneer is de organisatie “in control”?
Artikel 5 AVG
5 lid 1: Beginselen: rechtmatigheid, behoorlijkheid en transparantie; doelbinding: minimale gegevensverwerking; juistheid; opslagbeperking; en integriteit en vertrouwelijkheid.
5 lid 2: De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
28
15-5-2019Is de gemeentelijke organisatie in
control?
Artikel 24 AVG
1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
3. (…)
29
15-5-2019Is de gemeentelijke organisatie in
control?
Dat betekentVerantwoordingsplicht: de verzameling verplichtingen waaraan een organisatie moet voldoen om te kunnen aantonen dat voldaan wordt aan de vereisten van de AVG.
In control wanneer de organisatie in staat is de verantwoordingsplicht na te leven.
Concreet: Baseline Informatiebeveiliging Overheid
• ENSIA, overgangsjaar 2019
30
15-5-2019Is de gemeentelijke organisatie in
control?
VolwassenheidsniveausNiveau Naam Omschrijving
1 Initieel Beheersingsmaatregelen zijn niet of gedeeltelijk gedefinieerd en/of worden op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.
2Herhaalbaar Beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd.
3Gedefinieerd Beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar en wordt getoetst.
4Beheerst en meetbaar
De uitvoering is aantoonbaar en wordt getoetst. De effectiviteit van de beheersingsmaatregelen wordt periodiek geëvalueerd.
5Continu verbeteren
De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering.
Volwassenheidsniveaus
32
15-5-2019Is de gemeentelijke organisatie in
control?
Niveau 1: Initieel
Niveau 2: Herhaalbaar
Niveau 3: Gedefinieerd
Niveau 4: Beheerst en meetbaar
Niveau 5: Continu verbeteren
Vraag; welk volwassenheidsniveau denkt u, heeft uw gemeente/organisatie bereikt m.b.t. de AVG?
VolwassenheidsniveausNiveau Naam Omschrijving
1 Initieel Beheersingsmaatregelen zijn niet of gedeeltelijk gedefinieerd en/of worden op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.
2Herhaalbaar Beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd.
3Gedefinieerd Beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar en wordt getoetst.
4Beheerst en meetbaar
De uitvoering is aantoonbaar en wordt getoetst. De effectiviteit van de beheersingsmaatregelen wordt periodiek geëvalueerd.
5Continu verbeteren
De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering.
De uitdaging voor de FG
• BIO, AVG en ENSIA
• Bestuur en management
• Er moet nog het nodige gebeuren voordat we als gemeenten het minimaal gewenste volwassenheidsniveau 3 bereikt hebben.
34
15-5-2019 Is de gemeentelijke organisatie in control?
De uitdaging voor de FG
Stelling; aandacht bestuur en management voor privacybescherming neemt af.
“We zijn toch klaar met AVG?”
35
15-5-2019 Is de gemeentelijke organisatie in control?
De uitdaging voor de FG
Stelling; de BIO helpt bij de implementatie van de AVG.
36
15-5-2019 Is de gemeentelijke organisatie in control?
De uitdaging voor de FG
Stelling; de Functionaris Gegevensbescherming staat er alleen voor. Het is moeilijk om het verantwoordelijk management en bestuur mee te krijgen bij het verbeteren van de privacybescherming.
37
15-5-2019 Is de gemeentelijke organisatie in control?
De uitdaging voor de FG
Stelling; we zijn voorlopig nog niet klaar. Er moet nog het nodige gebeuren voordat onze gemeente het minimaal gewenste volwassenheidsniveau 3 bereikt heeft.
38
15-5-2019 Is de gemeentelijke organisatie in control?
De uitdaging voor de FG
• BIO, AVG en ENSIA
• Bestuur en management
• Er moet nog het nodige gebeuren voordat we als gemeenten het minimaal gewenste volwassenheidsniveau 3 bereikt hebben.
39
15-5-2019 Is de gemeentelijke organisatie in control?
AVG Quick scan
Wat is het volwassenheidsniveau van de organisatie?
• Interviews met maximaal 4 stakeholders. Gemeentesecretaris, Functionaris Gegevensbescherming, CISO, stakeholder aan te wijzen door gemeente.
• De opgehaalde gegevens worden tussentijds ter verificatie voorgelegd
• Input wordt uitgewerkt in een rapportage met het volwassenheidsniveau en de onderbouwing daarvan.
• De daarmee opgedane kennis is meetbaar en daarmee een uitstekend vertrekpunt voor het initiëren van vervolgstappen.
41
15-5-2019Is de gemeentelijke organisatie in
control?
AVG Quick scan
AVG Check
In welke mate is de organisatie “in control”?
43
15-5-2019 Is de gemeentelijke organisatie in control?
Vraag; doet uw FG structureel onderzoek naar interne naleving van de AVG en wordt daarop gerapporteerd?
• Een onderzoek dat de kenmerken heeft van een audit.
• Scope is belangrijk aandachtspunt:
• Samenwerkingsverbanden (bijvoorbeeld samenwerking binnen een gemeenschappelijke regeling).
• Organisatie, of deel van de organisatie (Sociaal Domein).
• Afdeling (bijvoorbeeld Afdeling Burgerzaken of Afdeling Wmo).
44
15-5-2019Is de gemeentelijke organisatie in
control?
De AVG-check
• De AVG-check:• omvat een lijst met bevindingen
• geeft inzicht in de mate waarin men in control is.
• Biedt handvatten voor FG en CISO bij het opzetten van een interne audit structuur.
• Biedt inzicht en kan gebruikt worden voor het formuleren van vervolgstappen (PDCA).
• Geeft antwoord op de vraag of organisatie in aanmerking komt voor keurmerk van een RE conform ISAE 3000 rapport.
• Ervaring: de AVG-check is alleen nuttig bij een gebleken volwassenheidsniveau van 3 of hoger.
45
15-5-2019Is de gemeentelijke organisatie in
control?
De AVG-check
Het onderzoek richt zich op:
• het ontwerp van het privacy management framework = de maatregelen om te voldoen aan de verantwoordingsplicht.
• de wijze waarop deze maatregelen in de praktijk geconcretiseerd zijn.
Vraag aan de Autoriteit Persoonsgegevens;Hoe staat het met ontwikkelen van een officieel AVG-certificaat voor organisaties?
15-5-2019 46Is de gemeentelijke organisatie in
control?
Wat wordt er precies onderzocht?
Er kan geheel vrijblijvend een afspraak gemaakt worden om specifieke vragen van uw gemeente te bespreken.
Vragen
Een presentatie over DL… DE BASISHoe komt u als gemeente “In control?”
Agenda:
1. In control, een utopische gedachte?
2. Starten vanuit de basis
3. Wanneer is “goed”, goed genoeg?
“In Control”
“In Control” in a connected world.
1. Meer potentiële ingangen dan ooit
2. Iedereen kan aanvaller zijn
3. De medewerkers als primaire doelwit
Medewerkers zijn niet de zwakste schakel, zij zijn het primaire
doelwit van de aanvaller.
De eerste verdedigingslinie.
Starten vanuit de basis
BREACHES
https://www.citrix.com/blogs/2019/04/04/citrix-provides-update-on-unauthorized-internal-network-access/
97% van alle Data Breaches:
• Gestolen, Ontbrekende, Gekraakte, Zwakke Wachtwoorden
• Niet de laatste updates geïnstalleerd
• Non-optimaal geconfigureerde systemen
https://www.ponemon.org
Security Impact van GDPR op organisaties
• Artikel 32 van de GDPR stelt dat:
• de verantwoordelijke organisatie de beveiliging van persoonsgegevens permanent moet garanderen
Artikel 32 van de GDPR verplicht organisaties tot:
• Het treffen van passende organisatorische en technische maatregelen (huidige staat van techniek)
BEPAAL JE RISICO PROFIEL & KIES HET JUISTE POSTUUR
Risico: Pup maakt de kamer kapotBeleid: Pup mag niet alleen in de kamer blijven
Maatregel: Effectief: Realiteit:
Algemeen risico matrix:
Cybercrime as a service / Geautomatiseerd
Insider Threat Advanced Cybercrime
Nation State
Kans om getroffen te worden
Zeer Groot Groot Klein Klein
Mogelijkheid tot succesvol verdedigen
Uitstekend Goed Matig Nihil
Impact Groot Zeer Groot Zeer Groot Extreem
Resources nodig om te verdedigen
Gemiddeld Gemiddeld Veel Extreem
Risico’s
Cybercrime as as Service
Geautomatiseerde aanvallen
SocialEngineering
Insider Threat
99%
Re
sou
rce
s
Passive/ Essential Monitoring Active – Detect and Response
Proactive – APT hunting
SIEM
EDR/EDTR (Enterprise Inspector)
EP
Encryption (EEE)
Threat Intelligence Subscription (Threat Intelligence)
MFA/2FA (ESA)
Network Traffic Analysis (TA – Grey Cortex)
Backup and Recovery (TA - Xopero)
Management console
DLP (TA - Safetica)
Security maturity ( complexity of security technology)
Automated actions, ad-hoc reactions on identified risks
Automated actions, active monitoring of current state with actions reacting to alerts on attack or potential risks
Internal data analysis and state monitoring in order to detect targeted attacks , actions according to policies/plan aimed to respond to attacks and possible attacks
Proactive hunting of Advanced Persistent Threats based on abnormalities identified form internal and external sources
As needed/”install and forget”0-1 people
Dedicated: Part-time specialist1-3 people
Formal team: Full-time specialist2-5 people
Security Operations Center (SOC), Incident Response (IR) capability: 24x7 shifts~10 people
Fusion: specialized SOC, IR, Intel teams15+ people
Managed Security Operations (Outsourced SOC)
Managed Endpoint / Monitored Endpoint (Outsourced Monitoring)
Advanced Threat Detection (EDTD)
Volwassenheid:
AVFirewall
Patch Management (TA -Flexera)
Mobile Device Management (MDM)
NAC (Network Access Control)
COMPLIANCE
POLICY
CONTINUOUS MONITORING& ANALYSIS
Adaptive Security Architecture
Harden Systems
Isolate Systems
Prevent Attacks
Detect Incidents
Confirm and prioritize risk
Contain Incidents
Remediate
Design / Model policy change
Investigate incidents / retrospective analysis
Baseline systems and security posture
Anticipate threats / attacks
Risk-prioritized exposure assesment
COMPLIANCE
POLICY
CONTINUOUS MONITORING& ANALYSIS
Adaptive Security Architecture
Endpoint & Server Security (mobile)
Multi-factor authentication
Encryption
Monitoring & Logging
Data Loss Prevention
Incident Response Plan
GOOGLE ALERTS
Patch & Vulnerability Management
The challenge
Time
Resources
2020
Assessment
Weerbaar
Compliant
In-control
• Phishing test• Security Audits• Penetration testing• Risk Assesment• PIA
• Patch Management• Endpoint Security• IDS / IPS • Logging• Remote Wipe• 2Factor Authenticatie• Incident Response Plan• Password Policy
(password manager)• Scanning for
vulnerabilities
• Encryption• Pseudonimisering• Dataminimalisation• Purpose of data• Right & priviliges• Segmentation• Information security policy• Internal vulnerability scanning• Contractor agreements
• Monitoring• DLP• Netwerk Segmentatie• Network Analysis• Security by design• Privacy by design• DPO• Threat Intelligence• Security Alerting• Endpoint Detection &
Response• Situational• Continuous Assessments
Wanneer is goed, genoeg?
Visie op informatiebeveiliging:
• Hoe ga ik om met een veranderend dreigingslandschap?
• Door de basis altijd op orde te hebben.
• Waar moet ik beginnen?
• Te beseffen dat je weerbaar bent, een plan te maken en wachtwoordbeleid aan te passen & te updaten.
• Hoe ver moet ik gaan?
• Totdat je een goedlopend proces hebt van basismaatregelen, deze periodiek worden getoetst & aangepast aan een wisselend risico profiel.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-
ontvangt-bijna-21000-datalekken-2018
Data Loss Prevention
• Automatisering van Dataclassificatie (BSN)
• Inzicht in datastromen
• DLP gaat in gesprek met medewerker (Security Awareness)
DLP Audit:
• Samenwerking met Swinth op organisatorisch niveau
• Binnen één maand inzicht in de huidige datastromen
• Doorlooptijd minimaal (1 á 3 dagen)
• Mogelijkheid tot continue DLP
• ESET klanten kosteloos uitrollen voor één maand
Tips: • Doe een DLP Audit
• Focus op een “hip”wachtwoordenbeleid
• Logging, Logging, Logging
• Wachtwoordkluis
• MFA
• Best practices, Peerlyst, For Dummies
• Encryptie & DLP
• Emailvertraging
• Google Alerts
Intro slide
Gemeenten & de AVG – hoe kijkt de AP hiertegen aan?
Cecile Schut, directeur Systeemtoezicht, Beveiliging en Technologie
33% Afbeelding 3x
Wat komt aan bod?
Autoriteit Persoonsgegevens 86
InleidingWat kan beter?
4 aandachtspunten voor gemeenten
Handhaving door de AP
25% Afbeelding 4x
Vier aandachtspunten voor gemeenten
Autoriteit Persoonsgegevens 87
Wees transparant
Wees wijs met pilots
Weet de FG te vinden
Werk samen
50% Tekst + 50% Afbeelding
Wees transparant
Uw inwoners willen weten:
• Welke gegevens verzamelt u?
• Wat gebeurt daarmee?
• Met wie deelt u de gegevens?
• Waarom doet u dat?
Autoriteit Persoonsgegevens 88
100% Tekst
Wees wijs met pilots
Autoriteit Persoonsgegevens 89
AVG-beginselen: Vragen:
• wettelijke grondslag • Past binnen taak als gemeente?
• doelbinding • Nodig om persoonsgegevens te verwerken?
• dataminimalisatie • Welke gegevens zijn noodzakelijk?
• beveiliging
100% Tekst
Weet de FG te vinden
Wat doet de FG?
➢ adviseert en houdt intern toezicht
Wat adviseert de AP?
➢ geef de FG de tijd! (o.a. in vroeg stadium bij plannen betrekken)
Voor FG’s: contact met AP➢Tel. 070-8888660➢E-mail: [email protected]
Autoriteit Persoonsgegevens 90
100% Tekst
Werk samen
• Veel gemeenten lopen tegen dezelfde problemen aan
• Initiatieven: VNG, CIP, best practices gemeenten
• Advies AP: zoek samenwerking op!
➢ bijvoorbeeld: samen richtlijnen opstellen
Autoriteit Persoonsgegevens 91
100% Tekst
Handhaving door de AP
• Rol van de FG
• Risicogericht toezicht: burger centraal
• Toezichtkader 2018-2019: focus op o.a. overheid
• Speciale aandacht voor:
• beveiliging van persoonsgegevens
• grondslag van de verwerking (vooral bij uitwisseling gegevens)
• Van voorlichting naar handhaving
Autoriteit Persoonsgegevens 92
Outro slide